【精选】数据资产目录管理实战

2024-07-15 14:31| 来源: 网络整理| 查看: 265

数据资源目录是构建数据资产体系的最基础操作，通过资源目录的定义，能够让数据管理方掌握自己有哪些数据，哪些数据是共享的，哪些数据有什么安全等级等等，并在识别出自身数据资源的基础上，进一步构建数据资源目录，在数据资产规范体系的基础上发挥数据价值，达到数据可见、可管、可用。

一、数据资源目录的理解

数据资源目录是通过对信息资源依据规范的元数据描述，按照一定的分类方法进行排序和编码的一组信息,用以描述各个信息资源的特征，以便于对信息资源的检索、定位与获取。也就是说，数据资源目录是站在数据管理的全局视角，对所有的数据资源进行编目的一组信息，是实现信息资源共享、业务协同和数据开放的基础，是各部门之间信息共享及数据开放的依据。

二、数据资源目录的实施步骤

信息资源目录编制工作包括对数据资源目录的范围定义、资源目录架构设计、数据资产盘点和数据目录发布四个阶段：

一、定义范围

在进行数据资源编目之前，需要由数据管理部门组织对数据资产目录的范围进行定义，要搞清楚资源编目的活动会涉及到哪些部门的数据、哪些应用系统的数据以及这些数据的分布情况，以便对后续的资源目录盘点进行范围确认。通过这一环节，形成资源编目需要收集信息的主要来源。

二、数据目录架构设计

1、元数据构成

数据资源目录当中的很多属性信息是来源于元数据（图二），上面也提到了数据资源目录是通过对信息资源依据规范的元数据描述，所以这里我们先要理清楚有哪些元数据信息是需要先定义好的。通常主要包括：

信息资源名称：描述数据资源内容的标题。

信息资源代码：数据资源唯一且不变的标识代码。

信息资源分类：可以依据组织的业务需求和应用需求自行划分数据资源的分类。（常用分类包括行业分类、业务分类、管理对象分类、主题分类、信息类别分类）

数据资源提供方：提供数据资源的部门。

数据资源提供方代码：提供数据资源的部门代码。

数据资源摘要：对数据资源内容或关键字段的概要描述。

数据资源格式：对数据资源存在方式的描述，如电子文件、电子表格、数据库、图形图像、流媒体、自描述格式、其他等。

数据项信息：对结构化数据资源的细化描述，包括数据项名称、数据类型、数据项共享类型、数据项开放类型等。

共享属性：对数据资源共享属性的描述，包括共享类型、共享条件、共享方式等。

开放属性：对数据资源是否面向组织外部开放及开放条件的描述，包括是否向社会开放、有条件开放、无条件开放。

更新周期：数据资源更新的频度，可以分为实时、每日、每周、每月、每季度、每年等。

发布日期：数据资源提供方发布数据资源的日期。

关联资源代码：数据资源在目录中重复出现时的关联性标注。

2、数据分类编码

数据资源目录的分类是根据数据资源内容的属性或特征，结合行业和业务调整，对数据资源进行一定原则和方法进行区分和归类。按照国标内容的要求，信息资源目录的编码原则与方法应遵循《GB_T 7027-2002 信息分类和编码的基本原则与方法》中混合分类方法的规定。分类类目编码应遵循《GB 18030-2022信息技术中文编码字符集》的规定，采用英文字母和阿拉伯字母。

图三：数据分类方式

3、数据分级定义

数据分级主要是从数据的保护措施角度考虑，通过数据定级让数据管理者意识到当前的数据资产当中有哪些数据安全等级是比较高的，应如何针对性的管理，当然说到数据分级，就要谈到相关的法律法规。

数据安全法：第二十一条　国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。

网络数据安全管理条例（征求意见稿）：第五条国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。

在国家标准《GB/T 25069-2010信息安全技术术语》中，没有定义信息或数据分级，但有安全分级的定义，其内涵实际上是包括了信息的分级：安全分级（security classification）:根据业务信息和系统服务的重要性和受损影响，确定实施某种程度的保护，并对该保护程度给以命名。依据访问数据或信息需求，而确定的保护程度，同时赋予相应的保护等级。例： “绝密”、“机密”、“秘密”。

在数据分级的概念上，目前各行业对于分级的粒度也有所不同，如运营商、银行、政务、医疗等不同行业对分级的定义，大体上是参考以下部分国标：

GB /T 39477 -2020 信息安全技术政务信息共享数据安全技术要求

GB/T 35273 -2020 信息安全技术个人信息安全规范

GB/T 38667-2020 信息技术大数据数据分类指南

GB/T 38664.1-2020 信息技术大数据政务数据开放共享第 1 部分：总则

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《政务信息资源共享管理暂行办法》（国发〔2016〕51 号）

图四：移动公司数据分级定义

图五：政务数据分级定义

3、共享属性定义

信息资源目录按共享类型分为无条件共享、有条件共享、不予共享等三种类型。

可提供给所有部门共享使用的信息资源对应目录属于无条件共享类。

可提供给相关部门共享使用或仅能够部分提供给所有部门共享使用的信息资源对应目录属于有条件共享类。

不宜提供给其他部门共享使用的信息资源对应目录属于不予共享类。

三、数据资源盘点

明确了数据资产目录的结构之后，接下来就是对数据资产进行盘点，规定如何完成数据目录的划分，这是定义数据资源目录最复杂的问题。

一般做这项工作至少需要4-5个人，同时牵头组织人还需要具备以下技能：

掌握业务，如果不懂，组内必须有人要懂

熟悉有哪些部门，每个部门的职责是什么

针对数据库有比较深的理解

针对数据架构有比较深的理解

针对数据治理实施方法论有比较深的理解

数据资产盘点的成果是数据资产清单或数据资产目录，它能从全局层面直观的展现单位拥有的数据资产情况，帮助数据管理方进行更有效的数据利用和管理，明确数据保护目标，协助完成数据安全保护体系的构建。

数据资产盘点应该以数据价值为导向，以统一标准为核心。因此，在进行数据资产盘点前，我们需要明确以下几点：

单位在日常经营活动中，积累了体量庞大的数据

只有可控的、能带来利益的数据才是数据资产

数据使用和保护的前提是知道有哪些数据、在哪里

统一的数据定义和价值标准，将有利于数据的使用和管理

明确数据的归属，将为跨业务的数据使用和数据安全保护落实提供便利

数据资产盘点主要分为：收集元数据信息、数据分类划分、数据分级划分、数据共享属性确定。

（1）收集元数据信息

元数据信息在收集环节可以不完全依赖技术元数据、管理元数据和操作元数据的划分来区分，根据调研的不同对象，可以按照部门元数据和数据中台元数据两个方向来收集，这样通过元数据的收集，可以记录不同的数据对象分别来源哪个应用系统，数据库及部门等信息。

图六：元数据信息

关于元数据的实施开展，请本号另一篇文章《元数据管理如何实施》

（2）数据分类定义

数据分类的定义需要有业务专家参与，对数据的分类没有十分严格的边界，因为很多数据是跨业务环节，所以需要由业务专家牵头，结合数据清单识别数据的不同业务属性，主题域属性进行划分。

图七：数据分类

（3）数据分级定义

数据分级即结合数据涉密等级标准，对数据的安全等级进行评估，数据安全分级的方式应采用自下而上的方式进行定义，即先对数据项当中的敏感数据进行识别，定义敏感字段的等级，数据项的分级由当前数据项中敏感等级最高的级别作为定义级别。这里可以辅助《数据安全分级目录》模板进行定义。

图八：数据安全分级目录

（4）共享属性定义

数据的共享属性需要由数据管理方与数据归属方共同确认数据的共享属性，判断哪些数据字段是可共享的，哪些数据是不可共享的，这其中还牵扯到数据安全的责权问题，所以数据共享属性最终的确认是由多方进行评审。

图九：数据共享属性定义

（5）其他属性定义

其他属性主要是针对与数据信息项字段的定义，这里结合目录编制需求可以自行扩展，基本包含数据的类型、数据长度、数据精度、数据属性等，这些内容也是元数据管理的基本内容。

图十：其他属性定义

四、形成资产目录

数据资产目录是数据资产盘点的最终成果，也是数据资产管理的第一步。它所有数据进行汇总，构建出一张全局的数据地图，清晰的展现出企业拥有的数据内容、数据量、数据价值、数据存储位置以及数据归属和责任人，帮助企业掌握其拥有的所有数据及数据价值，为相关单位进行数据使用、数据价值挖掘以及数据保护提供指导依据，同时指导相关单位进行数据规划和数据体系搭建。

（1）目录评审

数据资产目录填报完成之后，需要由数据管理方与相关业务方共同进行评审，主要针对数据的分级分类定义、共享属性定义、权属定义进行多方确认，通过确认达成一致的认可，作为数据主管部门长期维护的数据资产内容。

（2）目录发布及维护

经会商确认后的数据资产目录应形成版本管理，由数据管理方实时更新数据资产目录内容，提供数据业务单位了解数据信息，作为数据使用环节的参考依据

（3）目录服务

数据资产目录服务主要包括数据资产目录订阅和数据共享交换应用。以数据服务的方式开放对资产目录的访问以及共享数据的使用，使数据资产在规范化的前提下发挥数据价值。

———— 数据治理行业资料及实施模板获取请加入获取————